El servicio de Detección y Respuesta Gestionadas (MDR) de Sophos X-Ops está respondiendo activamente a incidentes relacionados con dos grupos distintos de ciberdelincuentes, cada uno de los cuales ha utilizado la funcionalidad de la plataforma Office 365 de Microsoft para acceder a organizaciones probablemente con el objetivo de robar datos y desplegar ransomware.
Sophos MDR empezó a investigar estos dos grupos separados de actividad en respuesta a incidentes de clientes en noviembre y diciembre de 2024. Sophos está rastreando estas amenazas como STAC5143 y STAC5777. Ambos actores de amenazas operaban sus propios inquilinos de servicios de Microsoft Office 365 como parte de sus ataques y se aprovecharon de una configuración predeterminada de Microsoft Teams que permite a los usuarios de dominios externos iniciar chats o reuniones con usuarios internos.
STAC5777 se solapa con un grupo de amenazas previamente identificado por Microsoft como Storm-1811. STAC5143 es un grupo de amenazas del que no se había informado anteriormente y que copia el libro de jugadas de Storm-1811, con posibles conexiones con el actor de amenazas conocido diversamente como FIN7, Sangria Tempest o Carbon Spider.
Publicamos este informe en profundidad sobre ambos grupos de amenazas para ayudar a los defensores a detectar y bloquear estas amenazas, y para concienciar sobre la propagación de estas tácticas entre las organizaciones que utilizan la plataforma Office 365. Sophos MDR ha observado más de 15 incidentes relacionados con estas tácticas en los últimos tres meses, la mitad de ellos en las últimas dos semanas.
Las tácticas comunes incluyen:
-
Email-bombing: envío selectivo de grandes volúmenes de mensajes de correo electrónico no deseado (hasta 3.000 en menos de una hora) para saturar los buzones de Outlook de unas pocas personas de la organización y crear una sensación de urgencia.
-
Envío de mensajes de Teams y realización de llamadas de voz y vídeo de Teams desde una instancia de Office 365 controlada por el adversario a empleados objetivo, haciéndose pasar por soporte técnico de su organización.
-
Utilizar las herramientas de control remoto de Microsoft (ya sea Quick Assist o directamente a través de la pantalla compartida de Teams) para tomar el control del ordenador de la persona objetivo e instalar malware.
STAC5143:
-
Control remoto integrado en Teams
-
Un archivo Java (JAR) y un Java runtime que automatizan la explotación del ordenador de la víctima
-
El JAR extrae puertas traseras basadas en Python de un archivo .zip descargado desde un enlace remoto de SharePoint
-
Utiliza técnicas y herramientas relacionadas con FIN7
STAC5777:
-
Microsoft Quick Assist
-
Cambios en la configuración del teclado y despliegue de malware
-
Despliegue de un actualizador legítimo de Microsoft con una DLL maliciosa de carga lateral que proporciona persistencia, roba credenciales y permite el descubrimiento de recursos de red
-
Utiliza RDP y la gestión remota de Windows para acceder a otros ordenadores de la red objetivo
-
En un caso, desplegó el ransomware Black Basta
-
Las técnicas, herramientas y procedimientos se solapan con las del actor de la amenaza Storm-1811, identificado por Microsoft
-
Muy activo
El siguienete informe detalla las tácticas de los dos grupos de amenazas, que siguen versiones del mismo patrón de ataque: bombardeo de correos electrónicos e ingeniería social de falso soporte técnico con entrega de malware, explotación de servicios legítimos a través de la plataforma Office 365 de Microsoft, y esfuerzos por desplegar herramientas de mando y control y de exfiltración de datos.
Creemos con gran certeza que ambos conjuntos de actividades de los adversarios forman parte de los esfuerzos de extorsión de ransomware y robo de datos.